CN109716808A - 网络访问控制 - Google Patents
网络访问控制 Download PDFInfo
- Publication number
- CN109716808A CN109716808A CN201780039557.8A CN201780039557A CN109716808A CN 109716808 A CN109716808 A CN 109716808A CN 201780039557 A CN201780039557 A CN 201780039557A CN 109716808 A CN109716808 A CN 109716808A
- Authority
- CN
- China
- Prior art keywords
- network
- remote
- control device
- secure network
- unique identifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/50—Secure pairing of devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/71—Hardware identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/80—Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种用于允许远程装置访问安全网络的装置,该装置包括:无线收发器;存储器,其存储与安全网络相关联的网络密钥;以及控制模块,其中,该控制模块被配置为:形成第一网络和形成安全网络;在检测到远程装置具有与第一网络相关联的网络密钥时允许远程装置加入第一网络,其中与第一网络相关联的该网络密钥也被存储在所述存储器中;以及在远程装置已经加入第一网络时,控制模块被配置为:经由无线收发器接收从远程装置发送的远程装置的唯一标识符;根据所述唯一标识符确定远程装置是否被授权访问该安全网络;并根据所述确定,经由所述无线收发器以加密的形式向远程装置发送与该安全网络相关联的网络密钥,以允许远程装置访问该安全网络。
Description
技术领域
本发明涉及控制对网络的访问。具体地,本发明涉及控制对Zigbee网络的访问。
背景技术
ZigBee是标准化的无线网络协议。IEEE802.15.4定义了物理层和媒体访问控制层(media access control,MAC)的规范,ZigBee联盟定义了包括网络层和应用层的标准的上层规范。
被称为网络协调器的装置(另外本文也称为集线器装置)形成Zigbee网络。Zigbee网络通常被称为个人局域网(personal area network,PAN)。通过让网络协调器向新装置开放网络,节点能够加入Zigbee网络。这包括以未加密的形式从网络协调器向加入节点装置传输网络密钥(使得能够加密通信)。
发明内容
发明人已经认识到,这种传输导致短时间帧的可利用性,其中未加密网络密钥可以被随后可加入网络的非期望的节点获得。因此,尽管时间有限,但这表示了安全风险。发明人还认识到,用网络密钥预编程节点装置(例如在制造时)损害了网络密钥的安全性,因为易于被未授权的人访问,并且使系统运营商跟踪装置、网络和密钥的制造和后勤问题变得复杂。
根据本发明的一个方面,提供了用于允许远程装置访问安全网络的装置,该装置包括:无线收发器;存储器,存储与安全网络相关联的网络密钥;以及控制模块,其中,该控制模块被配置为:形成第一网络和形成安全网络;在检测到远程装置具有与第一网络相关联的网络密钥时允许远程装置加入第一网络;其中,与第一网络相关联的网络密钥也被存储在所述存储器中;以及在远程装置已经加入第一网络时,控制模块被配置为:经由所述无线收发器接收从远程装置发送的远程装置的唯一标识符;根据所述唯一标识符确定远程装置是否被授权访问安全网络;并且根据所述确定,以加密的形式经由所述无线收发器向远程装置发送与安全网络相关联的网络密钥,以允许远程装置访问安全网络。
控制模块可以被配置为:经由所述无线收发器向认证服务器发送唯一标识符;经由所述无线收发器从认证服务器接收认证响应;并且根据所述认证响应确定远程装置是否被授权访问安全网络。
存储器可以包括白名单,该白名单被布置为存储由认证服务器认证成功的远程装置的唯一标识符,并且控制模块可以被配置为查询白名单,并且基于唯一标识符存在于白名单中来确定所述远程装置被授权访问安全网络。
控制模块还可以被配置为响应于确定唯一标识符未存在于白名单中,经由所述无线收发器向认证服务器发送唯一标识符;经由所述无线收发器从认证服务器接收认证响应;并且根据所述认证响应确定远程装置是否被授权访问安全网络。
存储器可以包括黑名单,该黑名单被布置成存储由认证服务器已认证失败的远程装置的唯一标识符,并且控制模块还可以被配置成响应于确定唯一标识符未存在于白名单中,查询黑名单并基于唯一标识符存在于黑名单中来确定所述远程装置未被授权访问安全网络。
控制模块还可以被配置为响应于确定唯一标识符未存在黑名单中,经由所述无线收发器向认证服务器发送唯一标识符;经由所述无线收发器从认证服务器接收认证响应;并且根据所述认证响应确定远程装置是否被授权访问安全网络。
控制模块可以被配置为响应于确定远程装置被授权访问安全网络,将唯一标识符添加到白名单。
控制模块可以响应于确定远程装置没有被授权访问安全网络,将唯一标识符添加到黑名单。
控制模块可以响应于确定远程装置被授权访问安全网络,以加密的形式将与安全网络相关联的网络密钥发送到远程装置。
控制模块还可以被配置为响应于确定远程装置被授权访问安全网络,向远程装置发送安全网络的至少一个参数。
该至少一个参数可以包括以下中的一个或任何组合:与安全网络相关联的扩展个人区域网络标识符、与安全网络相关联的个人区域网络标识符、与安全网络相关联的64位扩展唯一标识符以及安全网络的操作频率。
存储器可以存储用于加密与安全网络相关联的网络密钥的加密密钥,并且控制模块可以被配置为使用所述加密密钥来对与安全网络相关联的网络密钥进行加密。
存储器可以存储另外的加密密钥,并且控制模块被配置为生成至少包括与安全网络相关联的加密网络密钥的消息,并且使用另外的加密密钥以加密形式将消息发送到远程装置。
控制模块可以被配置为响应于确定远程装置未被授权访问安全网络,向远程装置发送拒绝消息,以使远程装置离开第一网络。
唯一标识符可以包括与远程装置相关联的序号或与远程装置相关联的媒体访问控制地址。在其他实施方式中,唯一标识符包括从在远程装置处计算的散列函数导出的散列值。
控制模块可以被配置为经由收发器接收从远程装置发送的加入第一网络的请求,并且作为响应,经由收发器以未加密的形式向远程装置发送与第一网络相关联的网络密钥。
控制模块可以被配置为将第一网络形成为安全网络,由此仅允许使用与第一网络相关联的网络密钥预编程的远程装置加入第一网络。
控制模块可以被配置为使用预配置的扩展个人区域网络标识符或从扩展个人区域网络标识符的预配置值范围中选择的扩展个人区域网络标识符来形成第一网络。
控制模块可以被配置为经由收发器接收由远程装置通过第一网络发送的加入安全网络的请求,并且在检测到远程装置具有与安全网络相关联的网络密钥时,允许远程装置加入安全网络。
第一网络和安全网络可以是Zigbee网络。
根据本发明的另一方面,提供了用于允许远程装置访问安全网络的方法,该方法包括:形成第一网络并形成安全网络;在检测到远程装置具有与第一网络相关联的网络密钥时,允许远程装置加入第一网络;以及在远程装置已经加入第一网络时,该方法还包括:接收从远程装置发送的远程装置的唯一标识符;根据所述唯一标识符确定远程装置是否被授权访问安全网络。并且根据所述确定,经由所述无线收发器以加密的形式向远程装置发送与安全网络相关联的网络密钥,以允许远程装置访问安全网络。
根据本发明的一个方面,提供了用于允许远程装置访问安全网络的计算机程序产品,该计算机程序产品包括代码,该代码被体现在计算机可读介质上并且被配置为以便当在处理器上被执行时:形成第一网络并形成安全网络;在检测到远程装置具有与第一网络相关联的网络密钥时允许远程装置加入第一网络;以及在远程装置已经加入第一网络时,该代码还被配置为以便当在处理器上被执行时:接收从远程装置发送的远程装置的唯一标识符;根据所述唯一标识符确定远程装置是否被授权访问安全网络;并且根据所述确定,以加密的形式向远程装置发送与安全网络相关联的网络密钥,以允许远程装置访问安全网络。
在本发明的另外的方面,提供了通信系统,包括:本文描述的用于允许远程装置访问安全网络的装置,连接到该装置的基于云端的认证服务器;以及至少一个远程装置。
根据下面描述的实施方式,这些和其他方面将是显而易见的。本公开的范围不旨在受限于本发明内容,也不旨在受限于必须解决所指出的任何或所有缺点的实施方式。
附图说明
为了更好地理解本公开并示出如何实行实施方式,对附图进行参考,在附图中:
图1说明了通信系统的示意性框图;
图2说明了通信系统的网络协调器装置的示意性框图;
图3a至图3c说明了示出在通信系统的装置之间发送的数据的序列图;以及
图4说明了包括通信系统的架构。
具体实施方式
广义上说,本发明试图通过使用具有云端连接的、主持两个Zigbee网络(安装(访客)网络和封闭式(即私有)网络)的集线器装置来克服与Zigbee相关联的安全问题,即集线器装置是网络协调器。该网络协调器允许远程装置加入安装网络,使得能够进行认证。网络协调器仅在远程装置被认证成功的情况下才允许远程装置访问封闭式网络。这有利地将封闭式网络与任何未授权的装置隔离。
现在将仅通过示例描述实施方式。
首先参考示出了通信系统100的图1。通信系统100包括支持两个并发Zigbee网络的网络协调器装置102。
网络协调器102通过扫描可用信道的可用的射频(radio frequenc,RF)来形成安装网络104,并且决定使用哪个信道(该处理包括执行本领域技术人员公知的“能量扫描”和“主动扫描”,因此本文不详细描述)。网络协调器102使用预配置的64位PAN ID(也称为扩展个人区域网络ID)在所选的信道上形成安装网络104。
具体地,网络协调器102可以使用64位PAN ID的预定义掩码(从64位的PAN ID的预定义值的范围中选择64位的PAN ID)来形成安装网络104。
远程装置108被预编程(例如在固件中)以加入与预配置的64位PAN ID或预定义掩码匹配的最近网络。
远程装置108需要与安装网络104相关联的网络密钥(例如,128位的密钥),以便加入安装网络104。与安装网络104相关联的网络密钥在安装网络104上的每个装置之间共享,并被用于对安装网络104内发送的所有数据进行加密。远程装置108可以以各种方式获得与安装网络104相关联的网络密钥,如将在下面更详细地描述的那样。
虽然为了简单起见,图1示出了单个远程装置,但是应当理解的是,多个远程装置可以加入安装网络104使得可以根据本文描述的实施方式对每个远程装置执行认证。
网络协调器102还具有到云端110的连接。本文使用的术语“云端”是指被托管在互联网上并被用以代替本地服务器或个人计算机进行存储、管理和处理数据的远程服务器网络。云端包括认证服务器112和数据存储器114。虽然为了简单起见,在图1中示出了单个认证服务器112,但是应当理解的是,本文描述的认证服务器112的功能可以由多个服务器实施。类似地,尽管为了简单起见,在图1中示出了单个数据存储器114,但是应当理解的是,可以存在多个数据存储器。认证服务器112被配置为检查远程装置108针对存储在数据存储器114中的数据从网络协调器102接收的远程装置108的证书以便确定是否认证远程装置108。
网络协调器102以形成安装网络104的类似的方式,通过扫描可用信道的可用RF来形成封闭式网络106并决定使用哪个RF信道。网络协调器102使用随机64位PAN ID在所选的信道上形成封闭式网络106。网络106被称为“封闭式的”,因为任何希望加入封闭式网络106的装置都需要预先配置的链接密钥(例如,128位密钥)。预配置的密钥可以是用于所有远程装置的单个链接密钥,从一位共享数据(诸如加入节点的EUI64地址)中导出的密钥,或者是用于每个远程装置的唯一的随机生成的密钥。
网络协调器102被配置为根据远程装置108的认证成功而以加密的形式将与封闭式网络106相关联的网络密钥传递到远程装置108。具体地,网络协调器102使用预先配置的链接密钥将与封闭式网络106相关联的加密网络密钥传送到远程装置108,并且加入的远程装置108需要预先配置的链接密钥以便将与封闭式网络106相关联的网络密钥进行解密。
因此,从上面可以看出,网络协调器102建立安装网络104和封闭式网络106两者,并且在这个建立处理之后,网络协调器102被连接到安装网络104和封闭式网络106两者。
网络协调器102仅在远程装置108被认证服务器112认证成功的情况下允许远程装置108访问封闭式网络106(下面将更详细地描述)。在图1中,通过交换机116概念性地示出了远程装置108之间的交换,该远程装置最初被连接到安装网络104且随后被允许通过网络协调器102访问封闭式网络106(取决于由认证服务器112执行的认证检查的结果)。应当理解的是,在通信系统100中未存在物理交换机。
图2示出了网络协调器102的示意性框图。如图2中所示,网络协调器102包括被耦合到收发器204和存储器206的控制模块202。应当理解的是,为了清楚起见,网络协调器102可以包括在图2中未示出的其他组件。
控制模块202被配置为形成安装网络104和封闭式网络106。控制模块202还被配置为通过向远程装置108和认证服务器112发送和接收数据来控制向远程装置108准许对封闭式网络106的访问。
控制模块202被布置为经由收发器204向远程装置108和向认证服务器112发送数据。类似地,控制模块202被布置为经由收发器204接收从远程装置108发送以及从认证服务器112发送的数据。
本文提到的控制模块202的功能可以用存储在包括一个或多个存储介质的存储器(例如,存储器206)上的代码(软件)来实施,并且被布置用于在包括一个或多个处理单元的处理器(图2中未示出)上的执行。该代码被配置为当该代码被从存储器中取出并在处理器上执行时,执行与本文讨论的实施方式一致的操作。可替换地,不排除的是,控制模块202的一些或全部功能在专用硬件电路或如现场可编程门阵列(field-programmable gatearray,FPGA)的可配置硬件电路中实施。
网络协调器102将Zigbee网络密钥存储在存储器206中。
具体地,与安装网络104相关联的网络密钥210被存储在存储器206中。控制模块202使用网络密钥210来加密被发送到安装网络104上的装置的所有网络消息,并对从安装网络104上的装置接收的所有网络消息进行解密。
远程装置108需要网络密钥210以便加入安装网络104上的装置(例如网络协调器102)并与其通信。当远程装置108加入时,网络协调器102可以控制安装网络104暂时“打开”,使得网络密钥以明文(clear)(未加密的)传递到远程装置108。也就是说,控制模块202被配置为经由收发器204接收从远程装置108发送的加入安装网络104的请求,并且作为响应,经由收发器204以未加密的形式将与安装网络104相关联的网络密钥210发送到远程装置108。
可替换地,安装网络104是“封闭式的”,其中,网络密钥210是在制造时被预编程到远程装置中的共享秘密(即,网络密钥210被存储在远程装置108中的非易失性存储器中),并且只有用网络密钥210预编程的装置可以加入安装网络104。
与封闭式网络相关联的网络密钥212也被存储在存储器206中。控制模块202使用网络密钥212来加密发送到封闭式网络106上的装置的所有网络消息,并解密从封闭式网络106上的装置接收的所有网络消息。网络协调器102被配置为如果其通过认证,则将网络密钥212传递到远程装置。
网络协调器102还将一个或多个加密密钥存储在存储器206中。
如上所讨论,网络协调器102被配置为根据远程装置108被认证成功而以加密的形式将与封闭式网络106相关联的网络密钥212传递到远程装置108。存储器206存储预配置的链接密钥214,网络协调器102使用该链接密钥214将与封闭式网络106相关联的网络密钥212安全地传送到远程装置108。
如图2中所示,存储器206还可以存储另一加密密钥-“封闭式网络细节”密钥216。这将在下面更详细地描述。
存储器206可以存储封闭式网络白名单208a,其被用于存储已经由认证服务器112认证成功的远程装置的装置证书。存储器206还可以存储封闭式网络黑名单208b,其被用于存储认证服务器112执行的认证失败的远程装置的装置证书。
现在将参照图3a至图3c来描述网络协调器102在控制对被给予远程装置108的封闭式网络106的访问时的操作。
图3a说明了示出在远程装置108已经加入安装网络104时,网络协调器102如何确定是否允许远程装置108访问封闭式网络106的第一序列图。
每个远程装置108需要唯一的标识符使得它可以被认证服务器112识别。该唯一标识符需要被永久地存储在远程装置上(例如,在远程装置108上的非易失性存储器中)。
如图3a中所示,在步骤S302中,远程装置108将装置的证书(即被存储在装置中的唯一标识符)供应给网络协调器102。
唯一标识符可以采取各种形式。例如,唯一标识符可以是在制造时被分配给远程装置的远程装置108的序号,或者EUI64格式的8字节MAC(媒体访问控制)地址,或者与远程装置108相关联的任何其他唯一标识符。
为了增强安全性,唯一标识符可以是根据计算关于与被存储在远程装置108的存储器中的远程装置108相关联的一组唯一标识符(其可以包括例如MAC地址、序号、制造日期和/或时间等)的散列函数导出的散列值。例如,唯一标识符可以是根据计算关于远程装置108的序号、远程装置108的制造日期和密钥(共享秘密)的散列函数导出的散列值。应当理解的是,对于未授权的人来说,散列值比例如序号更难以伪造。
网络协调器102的控制模块202通过收发器204接收远程装置108的唯一标识符。
在步骤S304中,控制模块202经由收发器204将接收到的远程装置108的唯一标识符发送到认证服务器112用于验证。
数据存储器114存储被授权访问封闭式网络106的所有远程装置的唯一标识符。该信息由提供网络协调器102和远程装置108的实体预先存储在数据存储器114中。根据以上内容可以理解的是,被存储在数据存储器114中的与授权的远程装置相关联的唯一标识符至少包括被存储在装置本身中的唯一标识符使得能够进行验证。
在步骤S306处,认证服务器112查询数据存储以确定其在步骤S304中接收的唯一标识符是否存在于数据存储器114中。在该检查之后,认证服务器112在步骤S308处向网络协调器102发送认证响应。
认证响应例如可以指示认证是成功的(其在步骤S304处接收的唯一标识符存在于数据存储器114中)还是不成功的(其在步骤S304处接收的唯一标识符未存在于数据存储器114中)。
图3b示出了第二序列图,该第二序列图示出了在远程装置108的认证成功的情形下由网络协调器102执行的步骤。
在步骤S308中,网络协调器102的控制模块202经由收发器204接收由认证服务器112发送的认证响应(指示远程装置108的认证成功)。
在存储器206存储上述封闭式网络白名单208a的实施方式中,在步骤S310中,控制模块202被配置为将在步骤S304处接收的远程装置108的唯一标识符添加到封闭式网络白名单208a(使得不必在重新加入尝试之后执行认证-这将在下面更详细地描述)。
一旦认证,远程装置108需要与封闭式网络106相关联的网络密钥212,使得远程装置108可以加入封闭式网络106上的装置并与之进行通信。为了帮助远程装置108在尝试加入处理之前识别正确的网络,期望的是(但不是必需的)封闭式网络106的一个或多个参数(例如,64位PAN ID、16位PAN ID、扩展唯一标识符(EUI64)和封闭式网络106的操作频率)被发送到远程装置108。
如图3b中所示,控制模块202被配置为经由收发器204以加密形式(在步骤S314)将封闭式网络106(在步骤S312)和网络密钥212的参数发送到远程装置108。
响应于在步骤S316处经由收发器204接收通过安装网络104从远程装置108发送的加入请求(请求对安全网络106的访问),控制模块202被配置为在检测到具有与封闭式网络106相关联的网络密钥212的远程装置108时允许远程装置108加入封闭式网络106。
虽然图3b示出了步骤S312和S314处的单独传输,但是应当理解的是,可以在单个消息传输中从网络协调器102传送封闭式网络106的参数和加密网络密钥212。
在一个实施方式中,认证响应仅指示认证是成功还是不成功,并且控制模块202生成(多个)消息以将封闭式网络106的参数和加密网络密钥212供应给被认证的远程装置108。
在该实施方式中,控制模块202使用预先配置的链接密钥214(被存储在存储器206中)来加密封闭式网络的网络密钥212到远程装置108的传输。
可替换地,认证服务器112响应于认证成功远程装置108,生成(多个)消息以将封闭式网络106的参数和加密网络密钥212供应给被认证的远程装置108,并将该(多个)消息经由网络协调器102发送到远程装置108。也就是说,网络协调器102从认证服务器112接收(多个)消息,并将它们中继到远程装置108,以向远程装置供应封闭式网络106的参数和加密网络密钥212。
在该实施方式中,认证服务器112有权访问并使用预先配置的链接密钥214(例如存储在服务器112或数据存储器114中)来加密封闭式的网络网络密钥212到远程装置108的传输。应当理解的是,在该实施方式中,认证服务器112还有权访问封闭式网络106的参数(例如,被存储在服务器112或数据存储器114中)。
对于上述情况中的任何一种,为了增强安全性,可能期望的是从起点(例如,在网络协调器102或认证服务器112处)加密封闭式网络的细节(即,封闭式网络106的参数和加密网络密钥212)。如将理解的那样,这需要另外的加密密钥,其在本文被称为“封闭式网络细节密钥”216。
如图2中所示,网络协调器102可以存储封闭式网络细节密钥216。响应于接收到指示远程装置108的认证成功的认证响应,控制模块202可以被配置为使用封闭式网络细节密钥216来加密向远程装置108发送封闭式网络细节消息(包括封闭式网络106的参数和加密网络密钥212)。
可替换地,认证服务器112可以存储封闭式网络细节密钥216(例如,被存储在服务器112或数据存储器114中)。响应于接收到被授权的远程装置108的唯一标识符,认证服务器112可以被配置为使用封闭式网络细节密钥216来加密经由网络协调器102向远程装置108发送封闭式网络细节消息(包括封闭式网络106的参数和加密网络密钥212)。
应当理解的是,远程装置108需要被存储在其非易失性存储器中的封闭式网络细节密钥216的副本,使得它可以被用于解密所接收的封闭式网络细节消息。
而在步骤S312处,图3b示出了封闭式网络106的一个或多个参数的传输。在其他实施方式中,封闭式网络106的(多个)参数不被发送到远程装置。
封闭式网络106的(多个)参数帮助加入的装置在其尝试加入处理之前识别正确的网络。在大多数情况下,很可能的是,无论如何远程装置108将首先找到封闭式网络106。即使没有找到,远程装置108也正在使用预先配置的链接密钥214加入,因此如果它首先找到另一网络并尝试加入该网络,它将不会成功。然后,它需要重复该处理,直到找到不同的网络-即封闭式网络106。
在封闭式网络106的(多个)参数在步骤S312处被发送到远程装置的实施方式中,可能仅仅是64位PANID被发送到远程装置108,然而传递所有参数(例如,64位PAN ID、16位PAN ID、扩展唯一标识符(EUI64)和封闭式网络106的操作频率)更有效。
图3c示出了第三序列图,该第三序列图示出了在远程装置108的未认证成功的情形下由网络协调器102执行的步骤。
在步骤S308处,网络协调器102的控制模块202经由收发器204接收由认证服务器112发送的认证响应(指示远程装置108的认证失败)。
在未认证成功之后,网络协调器202不允许远程装置108访问封闭式网络106(网络协调器202不将封闭式网络106的细节发送到远程装置108)。
相反,在步骤S320处,控制模块202经由收发器204向远程装置108发送拒绝消息。这使得远程装置108离开安装网络104。
在存储器206存储上述封闭式网络黑名单208b的实施方式中,在步骤S318处,控制模块202被配置为将在步骤S304处接收的远程装置108的唯一标识符添加到封闭式网络黑名单208b中(以防止重新加入尝试-下面将更详细地描述)。
根据以上内容,可以理解的是,网络协调器102的操作有利地将封闭式网络106与任何未授权的装置隔离。
在存储器206存储上述封闭式网络白名单208a的实施方式中,控制模块202被配置为响应于在步骤S302处接收到远程装置108的唯一标识符,查询封闭式网络白名单208a,以确定接收到的唯一标识符是否先前已经被控制模块202存储在封闭式网络白名单208a中。如果接收到的唯一标识符先前已经被存储在封闭式网络白名单208a中,则控制模块202能够确定远程装置108被授权访问封闭式网络106,而不必与认证服务器通信(不执行步骤S304、S306和S308)。因此,有利地减少了控制模块202上的处理负载、认证服务器112上的处理负载以及网络协调器102和认证服务器112之间的网络流量。
如果接收到的唯一标识符先前没有被存储在封闭式网络白名单208a中,则控制模块202被配置为与认证服务器112通信(如图3a中所示),以便确定远程装置108是否被授权访问封闭式网络106。
除了封闭式网络白名单208a之外,存储器206可以存储上述的封闭式网络黑名单208b。
在存储器206存储封闭式网络白名单208a和封闭式网络黑名单208b两者的实施方式中,如果控制模块202确定在步骤S302处接收的唯一标识符先前没有被存储在封闭式网络白名单208a中,则控制模块202被配置为查询封闭式网络黑名单208b以确定唯一标识符是否先前已经被控制模块202存储在封闭式网络黑名单208b中。
如果接收到的唯一标识符先前没有被存储在封闭式网络黑名单208b中,则这是远程装置108第一次请求访问封闭式网络106,并且因此控制模块202与认证服务器通信(如图3a中所示),以便确定是否授予远程装置108对封闭式网络106的访问(执行步骤S304、S306和S308)。
如果接收到的唯一标识符先前已经被存储在封闭式网络黑名单208b中,则控制模块202能够确定远程装置108未被授权访问封闭式网络106,而不必与认证服务器通信(不执行步骤S304、S306和S308)。因此,有利地减少了控制模块202上的处理负载、认证服务器112上的处理负载以及网络协调器102和认证服务器112之间的网络流量。在这种情形下,控制模块202在步骤S320处经由收发器204向远程装置108发送拒绝消息,以使未授权的远程装置108离开安装网络104。
在实施方式中,在多个网络协调器装置被安装在不同位置的情形下。各个安装网络可以被用于允许认证的装置在位置之间移动,临时加入已经将其认证细节录入认证服务器112中的组织内的不同ZigBee网络。
本公开的实施方式还允许装置在不同位置处由网络协调器托管的不同安全封闭式网络之间共享。例如,运输车辆中的授权远程装置可以在旅程的每一端处加入不同的封闭式网络。由各个网络协调器装置形成的开放网络将允许验证加入请求。例如,这可以被用于监控输送货物的温度或一些其他物理参数(由远程装置上的传感器感测),并通过云端110将信息直接传递给供应商、客户和/或运输运营商。
本公开的实施方式有利地消除了远程装置加入错误的封闭式(例如ZigBee HA)网络的风险,在最坏的情况下,远程装置可能加入也被连接到相同的基于云端的认证服务器的相邻访客网络,该认证服务器然后可以传递可替代的访客网络的细节和/或目标封闭式网络的可能加密的细节。
尽管已经参考作为Zigbee网络的安装网络104和封闭式网络106描述了实施方式,但是如果它们的安全模型允许,则本公开的实施方式扩展到其他网络协议。
现在我们转向图4,其示出了包括图1的通信系统100的示例性架构400。
图4示出了用于使用通信系统100执行检查和编译报告的架构400。架构400(也称为“Checkit”)包括多个模块化系统组件,这些系统组件一起工作以提供快速和简单的食品安全监控,并简化危害分析和关键控制点(Hazard Analysis and Critical ControlPoint,HACCP)报告。架构400包括一个或多个固定传感器108(以上称为远程装置),它们是被安装在特别的环境中以连续地监控诸如温度、湿度和门打开/关闭状态的变量的智能无线传感器。一个或多个固定传感器108与集线器装置102(以上称为网络协调器)通信,集线器装置102接收由每个固定传感器108收集的数据(根据上述实施方式,在提供了对由集线器装置102托管的封闭式网络106的访问时)。
根据上述实施方式,每个固定传感器108可以首先加入由集线器装置102托管的安装网络104使得可以执行认证。如果固定传感器108被云端110中的认证服务器112认证成功(图4中未示出),则集线器装置102仅允许每个固定传感器108访问由集线器装置102托管的封闭式网络106。
一个或多个传感器108优选地通过无线设备向集线器装置102发送数据,因为单个集线器装置102被定位在包含多个固定传感器108的区域中。集线器102被配置为核对从该固定传感器108或每个固定传感器108接收的所有数据。优选地,集线器102还用接收数据的时间对数据进行时间标记。该固定传感器108或每个固定传感器108,如果固定传感器足够靠近集线器102以与其进行无线通信则直接(如黑色箭头所示)收集并向集线器102发送与被监控环境相关的固定位置环境数据,或者如果固定传感器108离集线器102太远而不能与其进行无线通信,则或通过中继器16间接地(如虚线箭头所示)收集并向集线器102发送与被监控环境相关的固定位置环境数据。每个固定传感器108每几分钟自动地收集读数并将其发送到集线器102(可选地,通过中继器16)。这生成可以记录例如冷冻器是否在要求的最佳温度范围内操作的连续的数据流。
集线器102充当架构400的现场网关,并且被配置为从该授权的固定传感器108或每个授权的固定传感器108接收和存储数据。集线器102可以是被配置为用于该功能的任何计算装置,诸如PC、膝上型计算机、平板计算机等,或者可替换地集线器102是专用装置。例如,集线器102可以是平板触摸屏装置,其是架构400的模块化组件并且被设计为与其他模块化组件(例如传感器)一起使用。集线器102被配置为运行使得用户能够建立他们自己的HACCP流程的基于网页的软件。软件的图形用户界面提醒用户注意任何需要他们注意的问题,例如没有在要求的温度范围内工作的冰箱。集线器102可被配置为只要从固定传感器或手持传感器接收到指示问题的数据,就向用户的PC、平板电脑或智能手机传送提醒。集线器102自动存储和组织从该固定传感器108或每个固定传感器108接收的数据,以提供用户食品安全和卫生处理的准确日志。数据也自动从集线器102发送到云端110用于安全存储和远程访问。
集线器装置102优选地被配备为具有预安装的“Checkit”软件,使得它可以被容易地建立和使用。该软件包括用户界面以使得用户能够建立和使用系统来监控环境,并且包括用于任何外围装置(诸如,固定传感器)的驱动器。
架构400还包括被用于将该固定传感器108或每个固定传感器108安装在系统内的至少一个磁卡14。传感器安装包括在系统内注册传感器、给传感器命名(使得用户和系统可以容易地识别它),以及将传感器放置在要监控的环境中。
优选地,每个固定传感器108是唯一可识别的以使得用户能够在安装/使用传感器时区分传感器。每个固定传感器108包括用户友好的字母数字标识符(UFID),该标识符被附加到传感器上(例如被印刷在传感器上或通过标签被粘贴到传感器),以使得用户能够容易地视觉识别传感器。UFID可以由来自传感器的MAC地址的字符形成。
为了将每个固定传感器安装在要监控的环境中,每个传感器被临时地放置在环境中以确定由传感器发送并由集线器装置102接收的信号的强度,使得如果信号强度太弱则可以重新定位该传感器。然后,每个固定传感器被永久地附接就位在被监控环境中(例如使用胶垫、胶水、螺钉等),使得传感器总是从环境中相同的固定位置监控环境。术语“信号强度”可以是基于链接质量指数(link quality index,LQI)、接收的信号强度指示符(received signal strength indicator,RSSI)或两种度量的组合。
集线器102上的Checkit软件提供安装向导,以引导用户在被监控的环境中和架构400内安装传感器。安装向导提示用户收集所有要安装的固定传感器108。软件显示被安装在环境中的传感器的列表,该列表在此处理开始时将是空的。通过选择固定传感器108并使用磁卡14激活传感器,提示用户激活要安装的传感器。每个固定传感器108包括由施加的磁场操作的簧片开关。磁卡14靠近或压靠固定传感器108以接通传感器。传感器优选地包括一个或多个灯或LEDs以可视地指示传感器是否正在操作校正,这为用户安装和使用提供了更用户友好的组件。
架构400还包括至少一个手持传感器20。在实施方式中,手持传感器是智能无线温度传感器。手持温度传感器20使得用户能够快速地执行检查和监控存储温度和保持温度。手持传感器20收集移动位置温度数据,该数据被无线发送到便携式计算装置22。便携式装置22包括处理器,该处理器被配置为从该手持传感器20或每个手持传感器20接收移动位置温度数据,并将接收到的移动位置环境数据的可审计版本发送到云端用于安全存储和远程访问。便携式装置22可以是智能手机、平板电脑或其他移动计算装置。在实施方式中,便携式装置22运行移动操作系统,诸如Android(RTM)操作系统。便携式装置22有利地包括智能手机的功能和能力,诸如捕获条形码的图像和读取条形码的能力,以及使用Wi-Fi、蓝牙、NFC、Zigbee等与外围装置通信的能力。
便携式装置22被用于向用户显示工作流任务列表,以提示用户执行特殊任务。便携式装置还被用于存储任务的结果(例如,任何收集的数据,和/或任务何时完成的指示),并将存储的结果发送到云端。优选地,便携式装置将结果保留在其本地存储器中,直到云端服务器接收到数据被确认。这确保了在数据已经被安全地存储在基于云端的中央数据存储中之前不会被删除。
虽然架构400主要地被描述为监控被监控的环境中温度的设备,但是架构400不限于此目的。固定和移动传感器可以是温度传感器、湿度传感器、门接触传感器和可以被用于监控环境内状况和/或环境内组件(例如冰箱、冰柜、烤箱、炊具等)的操作的任何其他传感器。
架构400还包括一个或多个计算装置,诸如膝上型计算机24a、便携式装置24b(诸如平板电脑或智能手机)或PC24c。计算装置提供使得用户能够访问被存储在集线器装置102内的数据和/或被存储在云端110内的数据的web客户端(例如,web浏览器)。如果计算装置位于被监控的环境中,则它可以通过内部网访问集线器装置102,而安全连接可以被用于使得web客户端能够访问云端(例如,通过SSL)。
由便携式装置22从该手持传感器20或每个手持传感器20接收的移动位置环境数据在接收时被时间标记,并且还可以被附加为具有指示数据的出处的信息。例如,便携式装置22的处理器被配置为时间标记接收的数据,并添加指示该数据被该特殊的便携式装置接收的信息。在实施方式中,每个手持传感器20具有将出处数据附加到测量的移动位置环境数据以指示数据是由特殊手持传感器测量的能力。该出处信息被用于识别测量的移动位置环境数据是如何从传感器被发送到云端。出处信息也使得数据的真实性能够被验证。
有利的是,数据被保存在生成数据的装置上直到数据已被存储在云端中。另外,出处信息使得数据的真实性能够被检查,这将最小化数据被篡改的风险。另一个优点是该架构的功能可以通过云端中的软件来提供。这意味着,如果在某个特殊的站点的内网连接暂时地失败,则可以在该站点处本地运行更简单的服务。
虽然图4示出了本发明的实施方式的示例应用,但是应当理解的是,本发明的实施方式不限于该示例应用并且可以在其他上下文中使用。
虽然已经参照优选的实施方式具体地示出和描述了本发明,但是本领域技术人员将理解,在不脱离由所附权利要求限定的本发明的范围的情况下,可以在形式和细节上进行各种改变。
Claims (24)
1.一种用于允许远程装置访问安全网络的装置,所述装置包括:
无线收发器;
存储器,存储与所述安全网络相关联的网络密钥;以及
控制模块,其中,所述控制模块被配置为:
形成第一网络并形成所述安全网络;
在检测到所述远程装置具有与所述第一网络相关联的网络密钥时允许所述远程装置加入所述第一网络,其中,与所述第一网络相关联的网络密钥也被存储在所述存储器中;
并且一旦所述远程装置加入了所述第一网络,所述控制模块被配置为:
经由所述无线收发器接收从所述远程装置发送的所述远程装置的唯一标识符;
基于所述唯一标识符确定所述远程装置是否被授权访问所述安全网络;并且
根据所述确定,以加密的形式经由所述无线收发器向所述远程装置发送与所述安全网络相关联的所述网络密钥,以允许所述远程装置访问所述安全网络。
2.根据权利要求1所述的装置,其中,所述控制模块被配置为:
经由所述无线收发器向认证服务器发送所述唯一标识符;
经由所述无线收发器从所述认证服务器接收认证响应;并且
基于所述认证响应确定所述远程装置是否被授权访问所述安全网络。
3.根据权利要求1所述的装置,其中,所述存储器包括白名单,所述白名单被布置为存储由认证服务器认证成功的所述远程装置的唯一标识符,并且所述控制模块被配置为查询所述白名单并基于所述唯一标识符存在于所述白名单中而确定所述远程装置被授权访问所述安全网络。
4.根据权利要求3所述的装置,其中,所述控制模块还被配置为响应于确定所述唯一标识符未存在于所述白名单中,以:
经由所述无线收发器向所述认证服务器发送所述唯一标识符;
经由所述无线收发器从所述认证服务器接收认证响应;并且
根据所述认证响应来确定所述远程装置是否被授权访问所述安全网络。
5.根据权利要求3所述的装置,其中,所述存储器包括黑名单,所述黑名单被布置为存储由认证服务器认证失败的所述远程装置的唯一标识符,并且所述控制模块还被配置为响应于确定所述唯一标识符未存在于所述白名单中以查询所述黑名单并基于所述唯一标识符存在于所述黑名单中而确定所述远程装置未被授权访问所述安全网络。
6.根据权利要求5所述的装置,其中,所述控制模块还进一步被配置为响应于确定所述唯一标识符未存在于所述黑名单中,以:
经由所述无线收发器向所述认证服务器发送所述唯一标识符;
经由所述无线收发器从所述认证服务器接收认证响应;并且
根据所述认证响应来确定所述远程装置是否被授权访问所述安全网络。
7.根据权利要求4或6所述的装置,其中,所述控制模块被配置为响应于确定所述远程装置被授权访问所述安全网络,而将所述唯一标识符添加至所述白名单。
8.根据权利要求6所述的装置,其中,所述控制模块被配置为响应于确定所述远程装置未被授权访问所述安全网络,而将所述唯一标识符添加至所述黑名单。
9.根据前述权利要求中任意一项所述的装置,其中,所述控制模块被配置为响应于确定所述远程装置被授权访问所述安全网络,而以加密的方式将与所述安全网络有关的网络密钥发送至所述远程装置。
10.根据权利要求9所述的装置,其中,所述控制模块进一步被配置为,响应于确定所述远程装置被授权访问所述安全网络,而将所述安全网络的至少一个参数发送至所述远程装置。
11.根据权利要求10所述的装置,其中,所述至少一个参数包括以下中的一个或任何组合:与所述安全网络相关联的扩展个人区域网络标识符、与所述安全网络相关联的个人区域网络标识符、与所述安全网络相关联的64位扩展唯一标识符以及所述安全网络的操作频率。
12.根据权利要求9至11中任一项所述的装置,其中,所述存储器存储用于对与所述安全网络相关联的网络密钥进行加密的加密密钥,并且所述控制模块被配置为使用所述加密密钥来对与所述安全网络相关联的网络密钥进行加密。
13.根据权利要求12所述的装置,其中,所述存储器存储另外的加密密钥,并且所述控制模块被配置为生成至少包括与所述安全网络相关联的加密网络密钥的消息,并且使用所述另外的加密密钥以加密形式将所述消息发送到所述远程装置。
14.根据前述权利要求中任一项所述的装置,其中,所述控制模块被配置为响应于确定所述远程装置未被授权访问所述安全网络而向所述远程装置发送拒绝消息,以使所述远程装置离开所述第一网络。
15.根据前述权利要求中任一项所述的装置,其中,所述唯一标识符包括与所述远程装置相关联的序号或与所述远程装置相关联的介质访问控制地址。
16.根据权利要求1至14中的任一项所述的装置,其中,所述唯一标识符包括从在所述远程装置处计算的散列函数导出的散列值。
17.根据前述权利要求中任一项所述的装置,其中,所述控制模块被配置为经由所述收发器接收从所述远程装置发送的加入所述第一网络的请求,并且作为响应以未加密的形式经由所述收发器向所述远程装置发送与所述第一网络相关联的网络密钥。
18.根据权利要求1至16中任一项所述的装置,其中,所述控制模块被配置为将所述第一网络形成为安全网络,由此仅允许使用与所述第一网络相关联的网络密钥预编程的远程装置加入所述第一网络。
19.根据前述权利要求中任一项所述的装置,其中,所述控制模块被配置为使用预配置的扩展个人区域网络标识符或从所述扩展个人区域网络标识符的预配置值范围中选择的扩展个人区域网络标识符来形成所述第一网络。
20.根据前述权利要求中任一项所述的装置,其中,所述控制模块被配置为经由所述收发器接收由所述远程装置通过所述第一网络发送的加入所述安全网络的请求,并且在检测到所述远程装置具有与所述安全网络相关联的网络密钥时,允许所述远程装置加入所述安全网络。
21.根据前述权利要求中任一项所述的装置,其中,所述第一网络和所述安全网络是Zigbee网络。
22.一种用于允许远程装置访问安全网络的方法,所述方法包括:
形成第一网络并形成所述安全网络;
在检测到所述远程装置具有与所述第一网络相关联的网络密钥时,允许所述远程装置加入所述第一网络;
并且一旦所述远程装置加入了所述第一网络,所述方法还包括:
接收从所述远程装置发送的所述远程装置的唯一标识符;
根据所述唯一标识符确定所述远程装置是否被授权访问所述安全网络;并且
根据所述确定,以加密的形式经由无线收发器向所述远程装置发送与所述安全网络相关联的所述网络密钥,以允许所述远程装置访问所述安全网络。
23.一种用于允许远程装置访问安全网络的计算机程序产品,所述计算机程序产品包括代码,所述代码被体现在计算机可读介质上并且被配置以便当所述代码在处理器上被执行时使处理器执行以下操作:
形成第一网络并形成所述安全网络;
在检测到所述远程装置具有与所述第一网络相关联的网络密钥时允许所述远程装置加入所述第一网络;
并且一旦所述远程装置加入了所述第一网络,所述代码进一步被配置以便当所述代码在处理器上被执行时使处理器执行以下操作:
接收从所述远程装置发送的所述远程装置的唯一标识符;
根据所述唯一标识符确定所述远程装置是否被授权访问所述安全网络;并且
根据所述确定,以加密的形式向所述远程装置发送与所述安全网络相关联的所述网络密钥,以允许所述远程装置访问所述安全网络。
24.一种通信系统,包括:
根据权利要求1至21中任一项所述的装置;
与所述装置连接的基于云端的认证服务器;以及
至少一个远程装置。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
GB1607251.4 | 2016-04-26 | ||
GB1607251.4A GB2549735B (en) | 2016-04-26 | 2016-04-26 | Network access control |
PCT/GB2017/051087 WO2017187138A1 (en) | 2016-04-26 | 2017-04-19 | Network access control |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109716808A true CN109716808A (zh) | 2019-05-03 |
Family
ID=58633038
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201780039557.8A Pending CN109716808A (zh) | 2016-04-26 | 2017-04-19 | 网络访问控制 |
Country Status (5)
Country | Link |
---|---|
US (1) | US20190159031A1 (zh) |
EP (1) | EP3449656A1 (zh) |
CN (1) | CN109716808A (zh) |
GB (1) | GB2549735B (zh) |
WO (1) | WO2017187138A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110225520A (zh) * | 2019-05-06 | 2019-09-10 | 朗德万斯公司 | 用于向网络设备授予入网许可的设备和方法 |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11012898B2 (en) * | 2016-10-27 | 2021-05-18 | Silicon Laboratories, Inc. | Use of a network to commission a second network |
DE102017222953A1 (de) * | 2017-12-15 | 2019-06-19 | Osram Gmbh | Beitreten einer kommunikationsstelle zu einem drahtlosen vermaschten kommunikationsnetzwerk |
CN110049449A (zh) * | 2019-04-23 | 2019-07-23 | 宁波弘讯软件开发有限公司 | 一种位置确定方法、系统及相关装置 |
WO2023135008A1 (en) | 2022-01-13 | 2023-07-20 | Signify Holding B.V. | Server assisted encryption of keys |
US20240179766A1 (en) * | 2022-11-30 | 2024-05-30 | Powerflex Systems, Llc | Extending network coordination for short-range networks to remote devices |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1842989A (zh) * | 2003-07-22 | 2006-10-04 | 高通股份有限公司 | 声道上的数字认证 |
US8656178B2 (en) * | 2002-04-18 | 2014-02-18 | International Business Machines Corporation | Method, system and program product for modifying content usage conditions during content distribution |
US20150256538A1 (en) * | 2014-03-06 | 2015-09-10 | Delta Networks, Inc. | Network system and communication device therein |
US20150365823A1 (en) * | 2013-02-21 | 2015-12-17 | Orange | Technique of pairing in a wireless network |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2491746C2 (ru) * | 2007-07-03 | 2013-08-27 | Конинклейке Филипс Электроникс Н.В. | Система многомерной идентификации, аутентификации, авторизации и распределения ключа для мониторинга пациента |
GB2512748B (en) * | 2014-02-25 | 2015-02-18 | Cambridge Silicon Radio Ltd | Auto-configuration of a mesh relay's TX/RX schedule |
GB2518469B (en) * | 2014-04-02 | 2016-03-16 | Photonstar Led Ltd | Wireless nodes with security key |
SE1400283A1 (sv) * | 2014-06-04 | 2014-06-11 | Abb Technology Ltd | System och metod för autentisering av en trådlös fastihetsautomation anordning |
US10171439B2 (en) * | 2015-09-24 | 2019-01-01 | International Business Machines Corporation | Owner based device authentication and authorization for network access |
-
2016
- 2016-04-26 GB GB1607251.4A patent/GB2549735B/en active Active
-
2017
- 2017-04-19 US US16/096,546 patent/US20190159031A1/en not_active Abandoned
- 2017-04-19 CN CN201780039557.8A patent/CN109716808A/zh active Pending
- 2017-04-19 WO PCT/GB2017/051087 patent/WO2017187138A1/en active Application Filing
- 2017-04-19 EP EP17719690.4A patent/EP3449656A1/en not_active Withdrawn
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8656178B2 (en) * | 2002-04-18 | 2014-02-18 | International Business Machines Corporation | Method, system and program product for modifying content usage conditions during content distribution |
CN1842989A (zh) * | 2003-07-22 | 2006-10-04 | 高通股份有限公司 | 声道上的数字认证 |
US20150365823A1 (en) * | 2013-02-21 | 2015-12-17 | Orange | Technique of pairing in a wireless network |
US20150256538A1 (en) * | 2014-03-06 | 2015-09-10 | Delta Networks, Inc. | Network system and communication device therein |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110225520A (zh) * | 2019-05-06 | 2019-09-10 | 朗德万斯公司 | 用于向网络设备授予入网许可的设备和方法 |
Also Published As
Publication number | Publication date |
---|---|
WO2017187138A1 (en) | 2017-11-02 |
GB2549735B (en) | 2020-07-29 |
EP3449656A1 (en) | 2019-03-06 |
US20190159031A1 (en) | 2019-05-23 |
GB2549735A (en) | 2017-11-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109716808A (zh) | 网络访问控制 | |
US11240222B2 (en) | Registry apparatus, agent device, application providing apparatus and corresponding methods | |
US10951630B2 (en) | Registry apparatus, agent device, application providing apparatus and corresponding methods | |
US11621832B2 (en) | Configuration systems and methods for secure operation of networked transducers | |
CN106031085B (zh) | 用于在无线通信系统中传输和接收认证信息的方法和设备 | |
EP3314977B1 (en) | Systems, methods, and apparatus to configure embedded devices | |
CN107210919A (zh) | 在设备与装置之间建立信任的方法 | |
CN107431645A (zh) | 用于自动无线网络认证的系统和方法 | |
US20120108208A1 (en) | Bluetooth authentication system and method | |
US20040107344A1 (en) | Electronic device control apparatus | |
CN102742256A (zh) | 通信装置、通信方法及通信系统 | |
US11257043B2 (en) | Method and system for reporting and monitoring location-related activities of mobile devices | |
CN102143492B (zh) | Vpn连接建立方法、移动终端、服务器 | |
JP2014230213A (ja) | 情報設定方法及び無線通信システム | |
KR20140044215A (ko) | 인터넷을 통한 원격제어가 가능한 스마트 기기의 서버 인증방법 및 그 방법에 의한 인증장치 | |
US11985114B2 (en) | Secure device coupling | |
CN108476224A (zh) | 数据传输装置的认证 | |
US20200187006A1 (en) | Communication system and method for authorizing an appliance | |
JP2007519355A (ja) | ホームネットワーク又は無線ネットワークでの外部装置の認証方法 | |
CN113711566A (zh) | 在设备上提供数据 | |
EP4016922A1 (en) | A method for providing identity and authentication to a data-generation device and a data-generation device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information | ||
CB02 | Change of applicant information |
Address after: British county Applicant after: Chekter Europe Limited Address before: British county Applicant before: CHECKIT Ltd. |
|
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20190503 |